cPanel et WebHost Manager sont des outils courants en entreprise. Le premier automatise la gestion des serveurs et les tâches liées à l’hébergement web, l’autre aide à la gestion des intranets, sites et autres ressources en ligne.

Digital Defense a révélé que cette suite avait une très sérieuse faille dans son processeur d’authentification à deux facteurs, rendant vulnérable le processus aux attaques par force brute. L’opération pourrait même aboutir « en quelques minutes ».

Dans le propre descriptif de la faille par l’équipe de cPanel, on peut lire : « l’authentification à deux facteurs […] n’empêchait pas un attaquant de soumettre à plusieurs reprises des codes d’authentification. Cela lui permettait de contourner la vérification à deux facteurs en utilisant des techniques de force brute ».

La faille a été colmatée la semaine dernière, les administrateurs étant invités à mettre à jour le logiciel aussi rapidement que possible. 

« L’échec de validation de l’authentification à deux facteurs est maintenant traitée comme un échec de validation du mot de passe principal du compte, et la fréquence est limitée par cPHulk », note l’éditeur.